0
0
Embora um número cada vez maior de regulamentações tenha tornado obrigatório o relato de violações de dados, a maioria dos profissionais de TI nos Estados Unidos diz que foi instruída a manter silêncio sobre um incidente, potencialmente entrando em conflito com os requisitos legais.
Em uma pesquisa divulgada na semana passada, 42% dos mais de 400 profissionais de TI e segurança entrevistados – e 71% dos que estão nos Estados Unidos – afirmam que foram instruídos a manter uma violação de dados confidencial quando sabiam que o incidente deveria ser relatado. Três em cada 10 dos entrevistados concordaram e não relataram a violação, de acordo com o “Relatório de Avaliação de Segurança Cibernética de 2023”, publicado pela empresa de segurança cibernética Bitdefender.
A pressão para manter silêncio sobre uma potencial violação de dados não só coloca as empresas em risco de multas e penalidades, mas também pode colocar os trabalhadores em risco. Na realidade, a decisão de divulgar ou não uma violação deve caber às equipes executivas, diz Martin Zugec, diretor de soluções técnicas da Bitdefender.
“Se eu sou um administrador de TI, e talvez a segurança nem seja meu trabalho em tempo integral, é realmente difícil para mim dizer se temos a exigência de divulgar ou não”, diz ele. “Portanto, a responsabilidade pela segurança deve começar com os executivos, com a liderança da empresa, e eles devem estar envolvidos na decisão de divulgar.”
O ímpeto de não denunciar uma violação certamente não é novo. Em 2018, por exemplo, uma pesquisa semelhante descobriu que 84% dos profissionais de segurança cibernética esperavam notificação oportuna de uma violação, mas apenas 37% do mesmo grupo enfatizaram a notificação rápida de uma violação a seus clientes. Em talvez o exemplo mais notório, um júri considerou Joe Sullivan, o ex-CSO da Uber, culpado de obstrução da justiça e uma acusação relacionada no ano passado por seu encobrimento de uma violação de dados em 2016.
Caos regulatório leva a problemas nos Estados Unidos
Embora um número crescente de regulamentos exija que as empresas divulguem, esses regulamentos infelizmente não são consistentes. Isso é especialmente verdadeiro nos Estados Unidos, onde uma grande empresa terá que cumprir 50 jurisdições, regulamentos federais e regulamentos específicos do setor, diz Bryan Cunningham, ex-vice-assessor jurídico da Condoleezza Rice quando ela era conselheira de segurança nacional e agora conselheira da Theon Technology. Para começar, muitas empresas têm clientes na Europa, o que os coloca sob os requisitos do GDPR.
“Às vezes, há casos de manipulação de dados em que é literalmente impossível cumprir as leis da União Europeia e as leis dos EUA ao mesmo tempo”, diz ele. “Então, as pessoas internas dessas empresas estão divididas em um monte de direções diferentes.”
A abordagem integrada da União Europeia para a segurança de dados cria um cobertor consistente de requisitos em comparação com os Estados Unidos e sua miscelânea de regulamentos estaduais, federais e industriais em relação à privacidade e proteção de dados – o que talvez leve a melhores estatísticas de divulgação.
Três quartos dos entrevistados nos EUA (75%) sofreram uma violação de dados nos últimos 12 meses, enquanto 51% dos entrevistados no Reino Unido, 49% na Alemanha e ainda menos na Itália, Espanha e França sofreram uma violação de dados. No entanto, em comparação com os 71% dos entrevistados nos Estados Unidos que foram instruídos a manter uma violação em silêncio, apenas 44% dos entrevistados no Reino Unido disseram o mesmo, 37% na Itália e menos de 35% na Alemanha, Espanha e França, de acordo com o “Relatório de Avaliação de Segurança Cibernética de 2023“.
“Precisamos deixar muito mais claro quem deve fazer o quê e quando, e é por isso que acredito que iniciativas como o GDPR estão nos tornando, como toda a sociedade, muito mais seguros”, diz Zugec. “O modelo de responsabilidade individual que temos estabelecido hoje [nos EUA], estamos correndo em seus limites.”
As penalidades dependem da jurisdição, dos detalhes
A penalidade por não relatar uma violação de dados varia muito de acordo com a jurisdição e as especificidades do caso, diz Kevin Tunison, diretor de proteção de dados da Egress, um provedor de segurança de e-mail. No caso do chefe de segurança da Uber, Sullivan, a empresa pagou aos hackers US $ 100.000 por meio de um programa de recompensas por bugs para manter silêncio sobre a violação, e o CEO aprovou a ação.
“Deve haver desacordo em uma cultura saudável para debater se um incidente é reportável – se todos concordassem, não haveria necessidade de legislação de proteção de dados”, diz Tunison. “Por último e mais importante, o erro humano não é mais uma desculpa em que uma empresa pode recorrer. É responsabilidade de toda organização tomar medidas razoáveis e econômicas para evitar o evitável.”
Nos EUA, o código penal, Título 18, tem uma variedade de acusações potenciais que podem ser feitas contra uma pessoa que dificultou uma investigação de violação de dados, inclusive por não relatar o incidente original, conforme necessário. Na UE, dos 27 países signatários do GDPR, 10 têm penas de prisão como uma pena potencial de responsabilidade criminal.
“Dependendo da(s) jurisdição(ões) em que a empresa opera, os riscos podem ser tão significativos quanto a prisão perpétua”, diz Tunison.
A boa notícia é que as empresas parecem estar mudando de direção, especialmente na esteira do caso Sullivan. Embora as pequenas e médias empresas possam não ter recebido o memorando porque normalmente não são alvo de ações de execução e ações judiciais, as maiores empresas em todo o mundo estão começando a trabalhar com os governos e pedindo regulamentações mais homogêneas, diz Cunningham, da Theon Technologies.
“Acho que há uma mudança cultural bastante significativa entre empresas de capital aberto e empresas regularmente regulamentadas, que os dias de ser capaz de enterrar essas coisas acabaram”, diz ele. “Até mesmo a sabedoria de fazer isso foi completamente reavaliada.”
FONTE: DARK READING